Zákony o oznámení narušení bezpečnosti - Security breach notification laws

Zákony o oznámení narušení bezpečnosti nebo zákony o oznamování porušení údajů jsou zákony které vyžadují, aby jednotlivci nebo subjekty postižené porušením ochrany údajů informovali své zákazníky a další strany o porušení, jakož i přijali konkrétní kroky k nápravě situace na základě státního zákonodárce. Zákony o oznamování porušení údajů mají dva hlavní cíle. Prvním cílem je umožnit jednotlivcům šanci zmírnit rizika proti narušení dat. Druhým cílem je podpora pobídek společnosti k posílení bezpečnosti dat.[1]

Takové zákony byly nepravidelně přijaty u všech 50 Státy USA od roku 2002. V současné době všech 50 států přijalo formy zákonů o oznamování porušení ochrany údajů.[2] Je třeba poznamenat, že navzdory předchozím legislativním pokusům neexistuje žádný federální zákon o oznamování porušení ochrany údajů.[3] Tyto zákony byly přijaty v reakci na stupňující se počet porušení spotřebitel databáze obsahující osobní identifikační údaje.[4] Podobně několik dalších zemí, jako je EU a Austrálie, přidalo zákony o oznamování narušení bezpečnosti dat s cílem bojovat proti rostoucímu počtu narušení bezpečnosti dat.

Nárůst narušení dat je evidentní, protože počet hlášených narušení dat se zvýšil z 421 v roce 2011 na 1091 v roce 2016 a 1579 v roce 2017 podle Centra identit krádeží (ITRC).[5] To také ovlivnilo miliony lidí a získalo rostoucí povědomí veřejnosti kvůli velkým porušením údajů, jako je porušení zákona Equifax z října 2017, které odhalilo téměř 146 milionů osobních údajů jednotlivce.[6]

Legislativa

Spojené státy

První takový zákon, Kalifornský zákon o narušení bezpečnosti dat,[7] byl přijat v roce 2002 a nabyl účinnosti 1. července 2003.[8] Ve vztahu k výpisu z účtu zákon vyžaduje, aby „státní agentura nebo osoba nebo podnik, který podniká v Kalifornii, který vlastní nebo licencuje počítačová data, která obsahují osobní údaje, jak jsou definovány, aby určitým způsobem zveřejnil jakékoli porušení zabezpečení údajů, jak je definováno, jakémukoli obyvateli Kalifornie, jehož nezašifrované osobní údaje byly nebo o nichž se důvodně předpokládá, že byly získány neoprávněnou osobou. “ Zákon navíc umožňuje opožděné oznámení „pokud orgán činný v trestním řízení rozhodne, že by to znemožnilo vyšetřování trestného činu“. Zákon také vyžaduje, aby každý subjekt, který licencuje tyto informace, informoval vlastníka nebo držitele licence o každém porušení bezpečnosti dat.

Obecně platí, že většina státních zákonů se řídí základními principy původního zákona Kalifornie: Společnosti musí okamžitě zveřejnit a únik dat zákazníkům, obvykle písemně.[9] Kalifornie od té doby rozšířila svůj zákon tak, aby zahrnoval kompromitované informace o zdravotním a zdravotním pojištění.[10] Pokud se účty liší nejvíce, je to, na jaké úrovni musí být porušení nahlášeno státnímu státnímu zástupci (obvykle pokud se týká 500 nebo 1000 osob nebo více). Některé státy jako Kalifornie zveřejňují tato oznámení o narušení dat na svých webových stránkách oag.gov. Porušení musí být nahlášeno, pokud „byly získány citlivé osobní identifikační údaje nebo pokud se o nich důvodně předpokládá, že byly získány neoprávněnou osobou, a je přiměřeně pravděpodobné, že způsobí podstatné škody jednotlivcům, kterých se informace týkají.“[11] To ponechává prostor pro určitou interpretaci (způsobí to podstatnou škodu?); ale porušení šifrovaných dat není třeba hlásit. Rovněž nesmí být nahlášeno, pokud údaje byly získány nebo zobrazeny neoprávněnými osobami, pokud není důvod se domnívat, že budou údaje používat škodlivými způsoby.

The Národní konference státních zákonodárných sborů udržuje seznam přijatých a navrhovaných zákonů o oznamování narušení bezpečnosti.[4]

V dokumentu byla zavedena řada účtů, které by stanovovaly národní standard pro oznámení narušení bezpečnosti dat Americký kongres, ale žádný neprošel 109. kongres.[12] Ve svém projevu o stavu Unie v roce 2015 Prezident Obama navrhla nové právní předpisy k vytvoření vnitrostátního standardu pro porušení ochrany údajů, který by stanovil požadavek na 30denní oznámení od zjištění porušení.[13]

Evropská unie

on Evropská unie implementoval zákon o oznamování porušení předpisů v EU Směrnice o soukromí a elektronických komunikacích (Směrnice o soukromí a elektronických komunikacích) v roce 2009, konkrétně pro osobní data v držení telekomunikací a poskytovatelů internetových služeb.[14][15] Tato směrnice musí být provedena vnitrostátními právními předpisy do 25. května 2011.

Kromě toho se provozní data předplatitelů, kteří používají hlas a data prostřednictvím síťové společnosti, ukládají ze společnosti pouze z provozních důvodů. Údaje o provozu však musí být odstraněny, pokud již nejsou nutné, aby nedocházelo k jejich narušení. Na druhou stranu jsou údaje o provozu nezbytné pro vytvoření a zpracování fakturace předplatitele. Použití těchto údajů je k dispozici pouze do konce období, ve kterém je možné účet uhradit na základě práva Evropské unie (čl. 6 - odstavce 1-6 [16]Pokud jde o marketingové využití provozních údajů k prodeji dalších zpoplatněných služeb, mohou být od společnosti použity pouze v případě, že účastník dá svůj souhlas (souhlas však lze kdykoli odvolat). Poskytovatel služeb musí také informovat účastníka nebo uživatele o typech provozních údajů, které jsou zpracovávány, a o délce jejich trvání na základě výše uvedených předpokladů. Zpracování provozních údajů v souladu s výše uvedenými podrobnostmi musí být omezeno na osoby jednající pod dohledem poskytovatelů veřejných komunikačních sítí a veřejně dostupných služeb elektronických komunikací zpracovávajících fakturaci nebo řízení provozu, dotazy zákazníků, odhalování podvodů, marketing služeb elektronických komunikací nebo poskytování služby s přidanou hodnotou a musí být omezeno na to, co je nezbytné pro účely těchto činností.

Austrálie

Nový Zéland

Reference

  1. ^ Bisogni, Fabio (2016). „Prokazování omezení státních zákonů o oznamování porušení údajů: Je federální zákon nejvhodnějším řešením?“. Journal of Information Policy. 6: 154–205. doi:10,5325 / jinfopoli.6.2016.0154. ISSN  2158-3897.
  2. ^ Murciano-Goroff, Raviv (2019). „Zvyšují zákony o zpřístupňování informací o porušení ochrany údajů; investice do zabezpečení jejich digitální infrastruktury?"". Workshop o ekonomii informační bezpečnosti: 1–39.
  3. ^ Garrison, Chlotia; Hamilton, Clovia (02.01.2019). „Srovnávací analýza nařízení EU GDPR s oznámeními USA o porušení předpisů“. Zákon o informačních a komunikačních technologiích. 28 (1): 99–114. doi:10.1080/13600834.2019.1571473. ISSN  1360-0834.
  4. ^ A b „Zákony o narušení bezpečnosti“. www.ncsl.org. Citováno 27. ledna 2019.
  5. ^ Bisogni, Fabio; Asghari, Hadi (2020). „Více než podezřelý: vyšetřování souvislosti mezi porušeními údajů, krádeží identity a zákony o oznamování porušení údajů“. Journal of Information Policy. 10: 45–82. doi:10,5325 / jinfopoli.10.2020.0045. ISSN  2381-5892.
  6. ^ Ronaldson, Nicholas (01.05.2019). „HACKING: NAKED AGE CYBERCRIME, CLAPPER & STANDING, A DEBATE MEZI STÁTNÍMI A FEDERÁLNÍMI ZÁKONY O PORUŠENÍ ÚDAJŮ“. Northwestern Journal of Technology and Intellectual Property. 16 (4): 305. ISSN  1549-8271.
  7. ^ SB 1386, Cal. Občan Kód 1798.82 a 1798.29.
  8. ^ Senátní návrh zákona SB 1386 Archivováno 2007-06-13 na Wayback Machine
  9. ^ Scott Berinato (12. února 2008). „CSO Disclosure Series - Law Breach Notification Laws, State By State“. CSO online. Citováno 11. května 2016.
  10. ^ „Bill 1298 Assembly Bill - CHAPTERED“. Citováno 11. května 2016.
  11. ^ https://www.bakerlaw.com/files/uploads/documents/data%20breach%20documents/state_data_breach_statute_form.pdf
  12. ^ „Blogy RSA“. RSA.com. Citováno 27. ledna 2019.
  13. ^ „Zákon o oznamování a ochraně osobních údajů“ (PDF). Obamawhitehouse.archives.gov. Citováno 4. května 2018.
  14. ^ „Změna článku 4 písm. 3-5 směrnice 2002/58 / ES (směrnice o soukromí a elektronických komunikacích) článkem 2 písm. 4 písm. C) směrnice 2009/136 / ES“. Citováno 27. ledna 2019.
  15. ^ „Nová zvláštní pravidla pro spotřebitele při ztrátě nebo odcizení telekomunikačních osobních údajů v EU“. Jednotný digitální trh. 5. listopadu 2016. Citováno 11. května 2016.
  16. ^ „EUR-Lex - 32002L0058 - CS - EUR-Lex“. eur-lex.europa.eu. Citováno 27. ledna 2019.

externí odkazy